Хакер вывел из пулов ликвидности Curve Finance $47 млн

30 июля неизвестный атаковал пулы стейблкоинов DEX Curve Finance и вывел около $47 млн, используя уязвимость в программном коде Vyper. 

«Несколько стабильных пулов (alETH/msETH/pETH), использующих Vyper 0.2.15, были взломаны из-за неисправности механизма повторного входа. Мы оцениваем ситуацию и будем информировать сообщество по мере развития событий. Другие пулы находятся в безопасности», — написали представители Curve.

Vyper — это контрактно-ориентированный язык программирования на основе Python, предназначенный для виртуальной машины Ethereum. Разработчики признали, что эксплойт повторного входа находится в версиях 0.2.15, 0.2.16 и 0.3.0.

По данным аналитиков Ancilia, около 460 протоколов использовали уязвимое ПО.

Согласно расследованию Curve, некоторые компиляторы программного кода неправильно реализовывали защиту от повторного входа, которая предотвращала одновременное выполнение нескольких функций за счет блокировки контракта. 

От атаки пострадали ряд DeFi-проектов на Curve, включая JPEG’d, MetronomeDAO, deBridge и Ellipsis. Больше всех потерял пул alETH-ETH Alchemix — $13,6 млн. 

Эксперты BlockSec также сообщили, что аналогичный эксплойт затронул три проекта в BNB Smart Chain. В общей сложности злоумышленник вывел из протоколов в сети около $73 000. 

Белый хакер и оператор MEV-бота под ником c0ffebabe.eth смог получить на хранение украденные из пулов Curve 2879 ETH на сумму около $5,4 млн, попросив аффилированные протоколы связаться с ним для возврата активов. Позднее он перевел еще 1000 ETH (~$1,8 млн) на холодный кошелек.

По данным DeFi Llama, общая заблокированная стоимость Curve Finance за сутки сократилась практически в два раза — с $3,25 млрд до $1,73 млрд.

Utility-токен проекта Curve DAO (CRV) за 24 часа упал на 11,5%, согласно CoinGecko. На момент написания актив торгуется по $0,6492.

Крупнейшая южнокорейская биржа Upbit объявила, что из-за атаки увеличилась волатильность CRV, поэтому платформа приостановила все вводы и выводы по монете.

Напомним, в июле хакер вывел из DeFi-протокола Rodeo Finance $1,5 млн посредством манипуляций с оракулом. 

Позднее злоумышленник атаковал проект Alphapo. Убытки от взлома составили около $60 млн.

За первое полугодие 2023 года криптоиндустрия столкнулась с 395 взломами, потеряв в результате около $479,4 млн.